Всичко, което трябва да знаете за Petna, рансъмуер вирус от семейство Petya. Вирусът Petya: как да не го хванете, как да го дешифрирате, откъде идва - последните новини за рансъмуера Petya (ExPetr) Съобщения за вируса petya

Това заключение е резултат от проучване на две компании едновременно - Comae Technologies и Kaspersky Lab.

Оригиналният зловреден софтуер Petya, открит през 2016 г., беше машина за правене на пари. Тази проба определено не е предназначена за правене на пари. Заплахата е предназначена да се разпространява бързо и да причинява щети и се маскира като рансъмуер.

NotPetya не е инструмент за почистване на диск. Заплахата не изтрива данни, а просто ги прави неизползваеми чрез заключване на файлове и изхвърляне на ключове за дешифриране.

Старши изследовател от Kaspersky Lab Хуан Андре Гереро-Сааде коментира ситуацията:

В моята книга инфекция с ransomware без възможен механизъм за дешифриране е еквивалентна на изтриване на диск. Без да вземат предвид жизнеспособен механизъм за дешифриране, нападателите показаха пълно пренебрежение към дългосрочната парична печалба.

Авторът на оригиналния ransomware Petya написа в Туитър, че няма нищо общо с разработката на NotPetya. Той стана вторият киберпрестъпник, който отрича участие в създаването на нова подобна заплаха. Преди това авторът на рансъмуера AES-NI заяви, че няма нищо общо с XData, който също е бил използван при целенасочени атаки срещу Украйна. В допълнение, XData, подобно на NotPetya, използва идентичен вектор за разпространение - актуализиращи сървъри от украински производител софтуерза счетоводство.

Много косвени признаци подкрепят теорията, че някой краква известен ransomware и използва модифицирани версиида атакува украински потребители.

Разрушителните модули, маскирани като рансъмуер, вече ли са обичайна практика?

Подобни случаи вече е имало. Използването на злонамерени модули за трайно увреждане на файлове под прикритието на обикновен ransomware не е нова тактика. В съвременния свят това вече се превръща в тенденция.

Миналата година семействата злонамерен софтуер Shamoon и KillDisk включваха „компоненти на ransomware“ и използваха подобни техники за унищожаване на данни. В днешно време дори индустриалният зловреден софтуер получава функции за почистване на диска.

Класифицирането на NotPetya като инструмент за унищожаване на данни може лесно да прекласифицира зловреден софтуер като кибер оръжие. В този случай анализът на последиците от заплахата трябва да се разглежда от друга гледна точка.

Имайки предвид началната точка на заразяване и броя на жертвите, става очевидно, че целта на хакерската атака е Украйна. включено в моментаНяма очевидни доказателства, сочещи с пръст нападателя, но украинските власти вече обвиниха Русия, която също обвиниха за минали кибер инциденти, датиращи от 2014 г.

NotPetya може да се изравни с добре познатите семейства зловреден софтуер Stuxnet и BlackEnergy, които са били използвани за политически цели и за разрушителни ефекти. Доказателствата ясно показват, че NotPetya е кибер оръжие, а не просто много агресивна форма на ransomware.

Вирусът Petya ransomware атакува компютри в Украйна, Русия, Швеция, Холандия, Дания и други страни. Появата на вируса току-що беше регистрирана в Азия: в Индия системата за управление на товарния поток на най-голямото контейнерно пристанище в страната се провали. Най-много обаче пострада Украйна - летището в Харков е напълно парализирано, възстановена е работата на летище Бориспол, но основният сървър все още не работи. Общо около 300 хиляди компютъра са блокирани; потребителят трябва да плати 300 долара, за да отключи данните. Досега около 5000 долара са били платени на хакерите от 20 потребители, съобщава Next Web.

Кой е виновен?

През нощта отделът за киберполиция на Националната полиция на Украйна съобщи на страницата си във Facebook, че атаката срещу Украйна е извършена чрез програмата за отчетност и управление на документи „M.E.doc“:

Полицията съобщава, че атаката е започнала в 10:30 московско време, след като разработчиците на софтуера пуснаха следващата актуализация. В същото време самите автори на програми за автоматизация на документи категорично отричат ​​участието си и дават подробни аргументи:

По-късно на страницата на Cyber ​​​​Police се появи съобщение, че те не обвиняват компанията M.E.doc, а само посочват, че са установени факти, които трябва да бъдат подробно проверени. Въпреки това все още не се препоръчва да инсталирате актуализацията:

Коя е Петя?

Както експертите на Positive Technologies казаха на сайта, това е зловреден софтуер, чийто принцип на работа се основава на криптиране на главния запис за зареждане (MBR) на сектора за зареждане на диска и замяната му със собствен.

Дори след като компютърът е заразен, на потребителя остават 1-2 часа, в които да изпълни командата bootrec /fixMbr за възстановяване на MBR и възстановяване на операционната система, но файловете няма да могат да бъдат декриптирани.

Освен това Petya може да заобиколи актуализациите за сигурност на системата, инсталирани след атаката на WannaCry, поради което е толкова ефективна и се разпространява като лавина към други компютри. Бори се за контрол над всички възли в домейна, което е еквивалентно на пълен компромет на инфраструктурата.

Вирусната атака срещу компютрите на украински държавни и частни компании започна в 11:30 часа. Големи банки бяха атакувани търговски вериги, оператори клетъчни комуникации, държавни фирми, инфраструктурни съоръжения и предприятия за услуги.

Вирусът обхвана цялата територия на Украйна, към 17:00 часа се появи информация, че е регистрирана атака в самия запад на страната, в Закарпатието: тук поради вируса бяха затворени клонове на банка OTR и Ukrsotsbank.

„Популярният в Украйна сайт Korrespondent.net и телевизионният канал „24“ не работят. Броят на компаниите, засегнати от атаката, се увеличава с всеки час. В момента повечето банкови клонове не работят в Украйна. Например в офисите на Ukrsotsbank компютрите просто не се зареждат. Не можете да получавате или изпращате пари, да плащате разписки и т.н. В същото време в PrivatBank няма проблеми“, съобщава кореспондентът на RT в Киев.

Вирусът засяга само компютри, работещи с операционна система Windows. Той криптира основната файлова таблица на твърдия диск и изнудва пари от потребителите за дешифриране. По това той е подобен на рансъмуер вируса WannaCry, който атакува много компании по света. В същото време вече се появиха резултатите от сканиране на заразени компютри, които показват, че вирусът унищожава цялата или по-голямата част от информацията на заразените дискове.

IN настоящ моментВирусът е идентифициран като mbr locker 256, но в медиите нашумя друго име - Петя.

От Киев до Чернобил

Вирусът засегна и киевското метро, ​​където в момента има затруднения с плащането с банкови карти.

Поразени са много големи инфраструктурни съоръжения, като държавния железопътен оператор Ukrzaliznytsia и летище Бориспол. Въпреки това, въпреки че работят нормално, аеронавигационните системи не са засегнати от вируса, въпреки че Бориспол вече публикува предупреждение за възможни променипо график, но таблото за пристигащи на самото летище не работи.

Заради атаката двата най-големи пощенски оператора в страната изпитват затруднения в работата си: държавната Ukrposhta и частната " Нова поща" Последният обяви, че днес няма да има такса за съхранение на колети, а Ukrposhta се опитва да сведе до минимум последствията от атаката с помощта на SBU.

Поради риск от заразяване не работят и сайтовете на тези организации, които не са били засегнати от вируса. Поради тази причина, например, сървърите на уебсайта на Киевската градска държавна администрация, както и уебсайтът на Министерството на вътрешните работи на Украйна бяха деактивирани.

Украинските власти очаквано твърдят, че атаките идват от Русия. Това каза секретарят на Съвета за национална сигурност и отбрана на Украйна Александър Турчинов. „Още сега, след извършване на първоначален анализ на вируса, можем да говорим за руска следа“, цитира думите му официалният сайт на ведомството.

Към 17:30 ч. вирусът достигна дори атомната електроцентрала в Чернобил. Това съобщи за изданието "Украинская правда" Владимир Илчук, началник смяна в Чернобилската атомна електроцентрала.

„Има предварителна информация, че някои компютри са били заразени с вирус. Ето защо, веднага щом започна тази хакерска атака, беше дадена лична команда на компютърните работници на персонала да изключат компютрите“, каза Илчук.

Атака срещу сладкиши и петрол и газ

Хакерска атака във вторник, 27 юни, също засегна някои руски компании, включително петролните и газови гиганти Роснефт и Башнефт, металургичната компания Евраз, Хоум Кредит Банк, чиито клонове преустановиха дейността си, както и руските представителства на Марс, Нивеа, Монделиз Интернешънъл, ТЕСА и редица други чуждестранни компании.

• Ройтерс
• МАКСИМ ШЕМЕТОВ

Около 14:30 московско време Роснефт обяви мощна хакерска атака срещу сървърите на компанията. В същото време микроблогът на компанията в Twitter отбелязва, че атаката може да доведе до сериозни последствия, но благодарение на прехода към резервна системауправление на производствените процеси, нито производството на масло, нито подготовката на маслото са спрени.

След кибератаката сайтовете на компаниите Роснефт и Башнефт станаха недостъпни за известно време. Роснефт също така заяви, че е недопустимо да се разпространява невярна информация за атаката.

Разпространителите на фалшиви паник съобщения ще се считат за съучастници на организаторите на атаката и ще носят отговорност заедно с тях.

— PJSC NK Rosneft (@RosneftRu) 27 юни 2017 г

„Разпространителите на фалшиви паник съобщения ще се считат за съучастници на организаторите на атаката и ще носят отговорност заедно с тях“, казаха от компанията.

В същото време Роснефт отбеляза, че компанията се е свързала с правоприлагащите органи във връзка с кибератаката и изрази надежда, че инцидентът по никакъв начин не е свързан „с текущите съдебни процедури“. На 27 юни, вторник, арбитражен съдБашкирия започна разглеждане по същество на иска на Роснефт, Башнефт и Башкирия срещу АФК Система в размер на 170,6 милиарда рубли.

WannaCry Jr.

Хакерската атака обаче не е повлияла на работата компютърни системиадминистрацията на президента на Русия и официалният сайт на Кремъл, който, както каза прессекретарят на президента Дмитрий Песков пред ТАСС, „работи стабилно“.

Хакерската атака също не е повлияла по никакъв начин на работата на руските АЕЦ, отбелязват от концерна "Росенергоатом".

Фирма Dr. Web на своя уебсайт заяви, че въпреки външната прилика, текущата атака е извършена с помощта на вирус, който се различава от вече известния зловреден софтуер Petya ransomware, по-специално по механизма, чрез който заплахата се разпространява.

„Сред жертвите на кибератаката бяха мрежите на Bashneft, Rosneft, Mondelez International, Mars, Nivea, TESA и други“, цитира агенцията съобщение на компанията. В същото време пресслужбата на Mars в Русия заяви, че кибератаката е причинила проблеми с ИТ системите само на марката Royal Canin, производител на храна за животни, а не на цялата компания.

Последната голяма хакерска атака срещу руски компании и държавни агенции се случи на 12 май като част от мащабна операция на неизвестни хакери, които атакуваха компютри с Windows в 74 страни, използвайки вируса рансъмуер WannaCry.

Във вторник ръководителят на международния комитет на Съвета на федерацията Константин Косачев, говорейки на заседание на комисията на Съвета на федерацията за защита на държавния суверенитет, каза, че около 30% от всички кибератаки срещу Русия се извършват от територията на САЩ .

„Не повече от 2% от общия брой кибератаки се извършват от руска територия към американски компютри, докато 28-29% се извършват от територията на САЩ към руска електронна инфраструктура“, цитира РИА Новости думите на Косачев.

Според ръководителя на международния изследователски екип на Kaspersky Lab Костин Райу, вирусът Petya се е разпространил в много страни по света.

Petrwrap/Petya рансъмуер вариант с контакт [имейл защитен]разпространение, в световен мащаб голям брой засегнати страни.

Може би вече знаете за хакерската заплаха, регистрирана на 27 юни 2017 г. в страните Русия и Украйна, които бяха подложени на мащабна атака, подобна на WannaCry. Вирусът заключва компютрите и изисква откуп в биткойни за дешифриране на файлове. Общо над 80 компании в двете страни бяха засегнати, включително руските Роснефт и Башнефт.

Вирусът рансъмуер, подобно на скандалния WannaCry, е блокирал всички компютърни данни и изисква откуп в биткойни, еквивалентен на $300, който да бъде преведен на престъпниците. Но за разлика от Wanna Cry, Петя не се занимава с криптиране на отделни файлове - почти моментално „отнема“ целия твърд дискизцяло.

Правилното име на този вирус е Petya.A. Докладът на ESET разкрива някои от възможностите на Diskcoder.C (известен още като ExPetr, PetrWrap, Petya или NotPetya)

Според статистиката от всички жертви, вирусът е бил разпространен във фишинг имейли със заразени прикачени файлове. Обикновено идва писмо с молба за отваряне текстов документ, и как да разберем второто файлово разширение txt.екзе скрит, но приоритетът е най-новите разширенияфайл. По подразбиране операционната система Windows не показва файлови разширения и те изглеждат така:

В 8.1, в прозореца на Explorer (Преглед\Опции за папки\Премахнете отметката от Скриване на разширения за регистрирани типове файлове)

В 7 в прозореца на Explorer (Alt\Tools\Folder Options\Премахнете отметката от Скриване на разширения за известни типове файлове)

И най-лошото е, че потребителите дори не се притесняват от факта, че писмата идват от непознати потребители и ги молят да отворят неразбираеми файлове.

След като отвори файла, потребителят вижда " син екрансмърт."

След рестартирането изглежда, че "Scan Disk" е стартиран; всъщност вирусът криптира файловете.

За разлика от други ransomware, след като този вирус се стартира, той незабавно рестартира компютъра ви и когато се зареди отново, на екрана се появява съобщение: „НЕ ИЗКЛЮЧВАЙТЕ КОМПЮТЪРА! АКО СПРЕТЕ ТОЗИ ПРОЦЕС, МОЖЕТЕ ДА УНИЩОЖИТЕ ВСИЧКИ ВАШИ ДАННИ! МОЛЯ, УВЕРЕТЕ СЕ, ЧЕ ВАШИЯТ КОМПЮТЪР Е СВЪРЗАН КЪМ ЗАРЯДНОТО!“ Въпреки че може да изглежда така системна грешка, всъщност Петя в момента извършва безшумно криптиране скрит режим. Ако потребителят се опита да рестартира системата или да спре криптирането на файлове, на екрана се появява мигащ червен скелет заедно с текста „НАТИСНЕТЕ КОЙТО И ДА Е КЛАВИШ!“ Накрая, след натискане на клавиша, ще се появи нов прозорец с бележка за откуп. В тази бележка от жертвата се иска да плати 0,9 биткойна, което е приблизително $400. Тази цена обаче е само за един компютър. Следователно, за фирми, които имат много компютри, сумата може да бъде в хиляди. Това, което също отличава този рансъмуер е, че ви дава цяла седмица за плащане на откупа, вместо обичайните 12-72 часа, които другите вируси в тази категория дават.

Освен това проблемите с Петя не свършват дотук. След като този вирус влезе в системата, той ще се опита да пренапише зареждането Windows файлове, или така наречения boot recording master, необходим за зареждане на операционната система. Няма да можете да премахнете вируса Petya от вашия компютър, освен ако не възстановите настройките на Master Boot Recorder (MBR). Дори и да успеете да коригирате тези настройки и да премахнете вируса от вашата система, за съжаление вашите файлове ще останат криптирани, тъй като премахването на вируси не декриптира файловете, а просто премахва заразените файлове. Разбира се, премахването на вируса е важно, ако искате да продължите да работите с вашия компютър

След като стартирате компютъра си Windows системи, Петя криптира MFT (Master File Table) почти моментално. За какво отговаря тази таблица?

Представете си, че вашият твърд диск е най-голямата библиотека в цялата вселена. Съдържа милиарди книги. И така, как да намерите правилната книга? Само чрез каталога на библиотеката. Точно този каталог Петя унищожава. По този начин губите всякаква възможност да намерите какъвто и да е „файл“ на вашия компютър. Още по-точно, след като Петя „заработи“, твърдият диск на компютъра ви ще заприлича на библиотека след торнадо, където навсякъде ще хвърчат изрезки от книги.

Така, за разлика от Wanna Cry, Petya.A не криптира отделни файлове, прекарвайки впечатляващо много време за това - той просто ви отнема всяка възможност да ги намерите.

Кой създаде вируса Petya?

При създаването на вируса Petya е използван експлойт („дупка“) в операционната система Windows, наречен „EternalBlue“. Microsoft пусна корекция kb4012598(от по-рано пуснати уроци за WannaCry, вече говорихме за тази актуализация, която „затваря“ тази дупка.

Създателят на Petya успя мъдро да използва безхаберието на корпоративни и частни потребители и да спечели пари от това. Самоличността му все още е неизвестна (и е малко вероятно да бъде известна)

Как да премахнете вируса Petya?

Как да премахнете вируса Petya.A от вашия твърд диск? Това е изключително интересен въпрос. Факт е, че ако вирусът вече е блокирал вашите данни, тогава всъщност няма да има какво да изтриете. Ако не планирате да плащате рансъмуер (което не трябва да правите) и няма да се опитвате да възстановите данни на диска в бъдеще, можете просто да форматирате диска и да преинсталирате операционната система. След това от вируса няма да остане и следа.

Ако подозирате, че има заразен файл на вашия диск, сканирайте диска си с антивирусна програма от ESET Nod 32 и извършете пълно сканиране на системата. Компанията NOD 32 увери, че нейната база данни със сигнатури вече съдържа информация за този вирус.

Petya.A декриптор

Petya.A криптира вашите данни с много силен алгоритъм за криптиране. Понастоящем няма решение за дешифриране на блокирана информация.

Несъмнено всички бихме мечтали да се сдобием с чудодейния декриптор Petya.A, но такова решение просто няма. Вирусът WannaCry удари света преди няколко месеца, но лек за декриптиране на криптираните от него данни така и не е открит.

Единственият вариант е, ако преди това сте имали скрити копия на файловете.

Ето защо, ако все още не сте станали жертва на вируса Petya.A, актуализирайте вашата операционна система, инсталирайте антивирусна програма от ESET NOD 32. Ако все още губите контрол над данните си, тогава имате няколко възможности.

Плащайте пари. Няма смисъл да правим това!Експертите вече са установили, че създателят на вируса не възстановява данните и не може да ги възстанови, като се има предвид техниката на криптиране.

Опитайте да премахнете вируса от компютъра си и опитайте да възстановите файловете си с помощта на скрито копие (вирусът не ги засяга)

Извадете твърдия диск от вашето устройство, внимателно го поставете в шкафа и натиснете дешифратора, за да се появи.

Форматиране на диска и инсталиране на операционната система. Минус - всички данни ще бъдат загубени.

Petya.A и Android, iOS, Mac, Linux

Много потребители се притесняват дали вирусът Petya може да зарази техните устройства под Android управлениеи iOS. Бързам да ги успокоя - не, не може. Предназначен е само за потребители на Windows OS. Същото важи и за феновете на Linux и Mac - можете да спите спокойно, нищо не ви заплашва.

Според Positive Technologies над 80 организации в Русия и Украйна са били засегнати от действията на Петя. В сравнение с WannaCry, този вирус се счита за по-разрушителен, тъй като се разпространява чрез няколко метода: използвайки WindowsИнструменти за управление, експлойт PsExec и EternalBlue. В допълнение, рансъмуерът е вграден безплатна помощна програмаМимикац.

„Този ​​набор от инструменти позволява на Petya да остане работещ дори в тези инфраструктури, където е взет предвид урокът на WannaCry и са инсталирани подходящите актуализации за сигурност, поради което криптаторът е толкова ефективен“, казаха от Positive Technologies.

Както каза за Gazeta.Ru ръководителят на отдела за реагиране на заплахи информационна сигурностФирма Елмар Набигаев,

Ако говорим за причините за настоящата ситуация, тогава проблемът отново е небрежно отношение към проблемите на информационната сигурност.

Ръководителят на вирусната лаборатория Avast Якуб Крустек в интервю за Gazeta.Ru каза, че е невъзможно да се установи със сигурност кой точно стои зад тази кибератака, но вече е известно, че вирусът Petya се разпространява на darknet, използвайки бизнес модела RaaS (зловреден софтуер като услуга).

„Така че делът на разпространителите на програми достига 85% от откупа, 15% отиват при авторите на вируса рансъмуер“, каза Крустек. Той отбеляза, че авторите на Petya осигуряват цялата инфраструктура, C&C сървъри и системи парични преводи, което помага да се привлекат хора за разпространение на вируса, дори и да нямат опит в програмирането.

Освен това Avast каза какво точно операционни системипострада най-много от вируса.

На първо място е Windows 7 - 78% от всички заразени компютри. Следват Windows XP (18%), Windows 10 (6%) и Windows 8.1 (2%).

Kaspersky Lab смята, че въпреки че вирусът е подобен на семейство Petya, той все още принадлежи към различна категория и му дава различно име - ExPetr, тоест „бившият Петър“.

Заместник-директорът по развитието на компанията Aideko Дмитрий Хомутов обясни на кореспондента на Gazeta.Ru, че кибератаките WannaCry вирусии Петя доведоха до това, за което „предупреждавах отдавна“, тоест до глобалната уязвимост на информационните системи, използвани навсякъде.

„Вратичките, оставени от американските корпорации за разузнавателните агенции, станаха достъпни за хакерите и бързо бяха комбинирани с традиционния арсенал от киберпрестъпници - рансъмуер, ботнет клиенти и мрежови червеи“, каза Хомутов.

По този начин WannaCry не научи глобалната общност на почти нищо - компютрите останаха незащитени, системите не бяха актуализирани, а усилията за пускане на пачове дори за остарели системи просто отидоха на вятъра.

Експертите призовават да не се плаща необходимия откуп в биткойни, тъй като имейл адресът, който хакерите са оставили за комуникация, е блокиран от местния доставчик. Така, дори и в случай на „честни и добри намерения“ на киберпрестъпниците, потребителят не само ще загуби пари, но и няма да получи инструкции за отключване на данните си.

Петя навреди най-много на Украйна. Сред жертвите са Zaporozhyeoblenergo, Dneproenergo, Kiev Metro, украински мобилни операториКиевстар, LifeCell и Ukrtelecom, магазин Auchan, Privatbank, летище Бориспол и др.

Украинските власти веднага обвиниха Русия за кибератаката.

„Война в киберпространството, всяваща страх и терор сред милиони потребители персонални компютрии нанасяне на преки материални щети поради дестабилизирането на бизнеса и държавните агенции, е част от цялостната стратегия на хибридната война на Руската империя срещу Украйна“, каза депутатът от Народния фронт.

Украйна може да е била засегната по-силно от други поради първоначалното разпространение на Petya автоматична актуализация M.E.doc - програми за финансови отчети. По този начин бяха заразени украински отдели, инфраструктурни съоръжения и търговски компании - всички те използват тази услуга.

От пресслужбата на ESET Русия обясниха на Gazeta.Ru, че за заразяване с вируса Petya корпоративна мрежаЕдин уязвим компютър, който няма инсталирани актуализации за защита, е достатъчен. С негова помощ злонамерената програма ще влезе в мрежата, ще получи администраторски права и ще се разпространи на други устройства.

M.E.doc обаче излезе с официално опровержение на тази версия.

„Обсъждането на източниците на възникване и разпространение на кибератаки се провежда активно от потребители в социални мрежи, форуми и др. информационни ресурси, в текста на който едно от основанията е инсталирането на актуализации на програмата M.E.Doc. Екипът за разработка на M.E.Doc опровергава тази информацияи заявява, че подобни заключения са очевидно погрешни, тъй като разработчикът M.E.Doc, като отговорен доставчик програмен продукт, следи безопасността и чистотата на собствения си код“, казва the